Flo recebe o FTC slap por compartilhar dados do usuário quando prometia privacidade

12

A FTC chegou a um acordo com Flo, um aplicativo de rastreamento de período e fertilidade com mais de 100 milhões de usuários, sob alegações de que compartilhava os dados de saúde dos usuários com análises de aplicativos de terceiros e serviços de marketing como o Facebook, apesar de prometer manter os dados de saúde confidenciais dos usuários privados.

Flo deve obter uma revisão independente de suas práticas de privacidade e obter o consentimento dos usuários do aplicativo antes de compartilhar suas informações de saúde, nos termos do acordo proposto.

A ação segue um relato de 2019 no Wall Street Journal que conduziu uma análise de uma série de atividades de compartilhamento de dados de aplicativos.

Ele descobriu que o aplicativo de rastreamento de fertilidade havia informado o Facebook sobre atividades no aplicativo – como quando uma usuária estava menstruada ou informava sobre a intenção de engravidar apesar disso. Ele não encontrou nenhuma maneira de os usuários de Flo impedirem que suas informações de saúde fossem enviadas ao Facebook.

No anúncio sobre uma proposta de acordo hoje, a FTC disse que a cobertura da imprensa sobre o compartilhamento de dados de usuários de Flo com empresas de análise de aplicativos e marketing de terceiros, incluindo Facebook e Google, levou a centenas de reclamações.

O aplicativo só parou de vazar dados de saúde dos usuários após a cobertura negativa da imprensa, acrescentou.

De acordo com os termos do acordo FTC, Flo está proibida de falsear os propósitos para as quais ele (ou entidades a quem divulga dados) coleta, mantém, usa ou divulga os dados; quanto os consumidores podem controlar o uso desses dados; sua conformidade com qualquer programa de privacidade, segurança ou conformidade; e como ele coleta, mantém, usa, divulga, exclui ou protege as informações pessoais dos usuários.

Flo também deve notificar os usuários afetados sobre a divulgação de suas informações pessoais e instruir qualquer terceiro que recebeu informações de saúde dos usuários para destruir esses dados.

O fabricante do aplicativo foi contatado para comentar.

Nenhuma penalidade financeira está sendo cobrada, mas o acordo proposto pela FTC é digno de nota, pois é a primeira vez que o regulador dos EUA ordenou notificação de uma ação de privacidade.

“Aplicativos que coletam, usam e compartilham informações confidenciais de saúde podem fornecer serviços valiosos, mas os consumidores precisam ser capazes de confiar nesses aplicativos. Estamos analisando atentamente se os desenvolvedores de aplicativos de saúde estão cumprindo suas promessas e lidando com informações confidenciais de saúde de maneira responsável ”, disse Andrew Smith, diretor do Bureau of Consumer Protection da FTC, em um comunicado.

Enquanto o acordo recebeu o apoio unânime de cinco comissários, dois – Rohit Chopra e Rebecca Kelly Slaughter – emitiram um declaração de dissidência conjunta em que eles destacam a falta de uma conclusão de uma violação de uma regra de notificação de violação de saúde dos EUA que eles argumentam que deveria ter sido aplicada neste caso.

“Em nossa opinião, a FTC deveria ter acusado Flo de violar a regra de notificação de violação de saúde. De acordo com a regra, Flo era obrigado a notificar seus usuários após supostamente compartilhar suas informações de saúde com o Facebook, Google e outros sem sua autorização. Flo não o fez, tornando a empresa responsável pela regra ”, escrevem.

“A regra de notificação de violação de saúde foi emitida pela primeira vez há mais de uma década, mas a explosão de aplicativos de saúde conectados torna seus requisitos mais importantes do que nunca. Embora prefiramos ver limites substantivos na capacidade das empresas de coletar e monetizar nossas informações pessoais, a regra pelo menos garante que serviços como Flo precisam ser limpos quando experimentam violações de privacidade ou segurança. Com o tempo, isso pode induzir as empresas a tomar mais cuidado ao coletar e monetizar nossas informações mais confidenciais ”, acrescentam.

Flo não é de forma alguma o único aplicativo de rastreamento de período que atraiu a atenção por vazar dados do usuário nos últimos anos.

Um relatório do ano passado do Conselho de Consumidores da Noruega descobriu que aplicativos de rastreamento de fertilidade / período Clue e MyDays compartilhavam dados inesperadamente com os gigantes da adtech Facebook e Google, por exemplo.

Esse relatório também constatou vazamento de dados não transparentes em uma variedade de aplicativos, incluindo aplicativos de namoro, religiosos, de maquiagem e infantis – sugerindo violações generalizadas de leis regionais de processamento de dados que exigem que, para consentimento para ser válido, os usuários devem ser devidamente informados e com uma livre escolha genuína. Embora os fabricantes de aplicativos tenham enfrentado pouca aplicação para o vazamento de dados relacionados a análises / marketing na região.

Na ação regulatória dos EUA em torno de aplicativos depende de alegações enganosas – seja sobre privacidade (no caso de Flo) ou em relação às finalidades de processamento de dados, como em um acordo separado que a FTC divulgou no início desta semana relacionado ao aplicativo de armazenamento em nuvem Ever.

Fonte: TechCrunch